[MàJ] Incident affectant les solutions AnyDesk

Résumé

[Mise à jour du 27 février 2024]

Le 29 janvier 2024 l’ANSSI a été alertée par le BSI que l’éditeur
AnyDesk Software GmbH a été victime d’une fuite de données. Le code
source des applications développées par l’éditeur ainsi que des
certificats et clés privées pourraient avoir été dérobés. De plus, l’éditeur indique que deux de ses
serveurs relais situés en Europe ont également été affectés par cet
incident.

L’éditeur est spécialisé dans le développement de solutions logicielles
de bureau à distance utilisables pour l’assistance à distance des
utilisateurs, l’administration de serveurs, le télétravail ou encore le
rebond vers des ressources internes d’entreprise non accessibles
publiquement. Les solutions AnyDesk couvrent un large spectre de
systèmes d’exploitation : Linux, Windows, MacOS, Android, iOS, AppleTV,
etc.

Selon l’entreprise, les données exfiltrées pourraient potentiellement
être réutilisées dans le cadre d’attaques ultérieures visant les
utilisateurs des solutions AnyDesk. Selon l’éditeur ces attaques sont
susceptibles de :

• Viser à affaiblir la sécurité de l’infrastructure de communication
  entre utilisateurs AnyDesk, par exemple au travers d’attaques de
  type homme du milieu/attaque de l’intercepteur (Meddler in the
  Middle/Man in the Middle) ;
• Viser à altérer les logiciels publiés par l’entreprise ou identifiés
  comme produits par l’entreprise.

Le CERT-FR ne peut pas confirmer, à ce stade, la vraisemblance ou la
complexité de mise en œuvre de telles attaques. Toutefois, au regard de
la nature de ce type de solutions logicielles et de leurs conditions
d’emploi, la compromission d’échanges entre utilisateurs ou le piégeage
applicatif pourraient servir de point d’entrée vers les systèmes
d’information.

Mesures conservatoires

[Mise à jour du 27 février 2024]

En attendant de disposer d’informations complémentaires, le CERT-FR
recommande de mettre en œuvre les actions suivantes:

1. Identifier et référencer sur vos systèmes d’information si l’une des
   solutions AnyDesk est installée (ne pas oublier aussi de vérifier la
   flotte mobile le cas échéant) :
   • Pour aider à identifier ces machines, plusieurs méthodes sont
     proposées dans la section « Identifier et référencer sur vos
     systèmes d’informations l’emploi d’outils AnyDesk »,
   • Une fois cet inventaire réalisé, mettre sous séquestre les
     résultats pour faciliter de potentielles futures
     investigations ;
2. Identifier si l’installation de cette application a été faite dans
   le cadre d’une activité légitime, connue et validée en interne de
   votre entité ;
3. Identifier le niveau de sensibilité des machines, postes, serveurs
   recourant à ces outils et les contraintes métier associées à leur
   emploi ;
4. Dans le cadre de l’appréciation des risques, identifier l’impact que
   pourrait avoir un scénario d’incident impliquant une potentielle
   compromission d’une ou plusieurs de ces machines ;
5. En fonction de votre appréciation des risques, et afin d’anticiper
   de potentielles futures levées de doutes, procéder et mettre sous
   séquestre un relevé d’investigation numérique sur l’ensemble des
   machines concernées :
   • Si cela ne peut être fait de façon globale, l’ANSSI recommande
     de commencer par les machines les plus critiques,
   • Voir la section « Collectes préventives » ;
6. En fonction de votre appréciation des risques et des contraintes
   métier:

   • Pour les solutions AnyDesk n’ayant
     pas fait l’objet de mises à jour de sécurité, envisager la
     désinstallation de la solution AnyDesk et l’utilisation d’une
     solution alternative,

   • Pour les environnements Windows et
     macOS, de procéder à la mise à jour de la solution AnyDesk (la
     mise à jour doit impérativement être téléchargée depuis le site
     officiel de l’éditeur https://anydesk.com),

   • Pour les autres versions, l’ANSSI est dans l’attente de plus
     d’informations et vous invite à rester attentif aux futures
     mises à jour publiées par l’éditeur,

   • Une fois le parc migré vers cette nouvelle version, et dans la
     mesure du possible, de détecter/bloquer toute application signée
     avec les certificats suivants:

         fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece
         serial : 0dbf152deaf0b981a8a938d53f769db8
         Valide à partir du: lundi 13 décembre 2021 01:00:00
         Valide jusqu'au: jeudi 9 janvier 2025 00:59:59
         CN = philandro Software GmbH
         O = philandro Software GmbH
         L = Stuttgart
         S = Baden-Württemberg
         C = DE
     

         fingerprint : 4a1dfb9aa37809b3a123e0ac750bf370469ebaeb
         serial : 2379881731619607111 (0x210709d364a0d247)
         Valide à partir du: mardi 8 juin 2021 11:04:30
         Valide jusqu'au: mardi 9 juin 2026 11:04:29
         CN = Developer ID Application: philandro Software GmbH (KU6W3B6JMZ)
         OU = KU6W3B6JMZ
         O = philandro Software GmbH
         C = DE
     

7. Procéder au renouvellement de
   l’ensemble des mots de passe servant aux connexions aux instances
   applicatives AnyDesk
8. Rechercher toute activité suspecte sur et à l’origine de ces
   machines à compter du 20/12/2023
   • En cas de doute, faire appel à un prestataire qualifié de
     réponse aux incidents de sécurité (PRIS)

Identifier et référencer l’emploi d’outils Anydesk au sein du système d’information

Pour identifier quelles machines sont susceptibles de recourir à la
solution AnyDesk, il est possible de combiner plusieurs méthodes:

Au niveau réseau

Au niveau réseau, identifier toute machine établissant des connexions
vers:

*.net.anydesk.com

Au niveau système

Un seul de ces observables peut indiquer la présence d’Anydesk

Windows

Il est possible de s’appuyer sur l’outil FastFind de l’ANSSI qui est
joint à cette publication et de le passer sur les parcs Windows.
Celui-ci reprend notamment les éléments ci-dessous qui peuvent également
être recherchés via les éventuels outils existants au sein des SI (Par
ex. outils d’inventaires de parc, EDR, etc.).

Télécharger
l’outil
FastFind

La présence d’un des fichiers suivants:

• C:\Program Files (x86)\AnyDesk\AnyDesk.exe

• %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\AnyDesk.lnk

• C:\Windows\Prefetch\ANYDESK.EXE-[A-F0-9]{8}.pf

(Pour rappel il existe également une version portable de l’application)

Il est possible également de vérifier la présence des clés de registre
suivantes:

• HKLM\SYSTEM\ControlSet001\Services\AnyDesk

• HKLM\SOFTWARE\Clients\Media\AnyDesk

• HKLM\SOFTWARE\Classes\.anydesk\shell\open\command

Dans les journaux Windows rechercher l’événement de création de service
7045 ci-dessous:

    ImagePath:"C:\\Program Files (x86)\\AnyDesk\\AnyDesk.exe" –service
    ServiceName:"AnyDesk Service"
    ServiceType:"service en mode utilisateur",
    StartType:"Démarrage automatique"

Tous les logiciels signés avec le certificat

    fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece
    serial : 0dbf152deaf0b981a8a938d53f769db8
    lundi 13 décembre 2021 01:00:00
    jeudi 9 janvier 2025 00:59:59
    CN = philandro Software GmbH
    O = philandro Software GmbH
    L = Stuttgart
    S = Baden-Württemberg
    C = DE

Linux

La présence d’un des fichiers suivants :

MacOS

La présence d’un des fichiers suivants :

• ~/.anydesk/system.conf

• ~/.anydesk/service.conf

• ~/.anydesk/user.conf

Et la présence de l’application

/Applications/Anydesk.app/

Collectes préventives

Une fois l’inventaire réalisé et afin, dans la mesure du possible, de
faciliter de potentielles futures levées de doutes, l’ANSSI recommande
de mettre sous séquestre a minima les éléments ci-dessous, avant de
procéder à la montée de version de l’application. Puis en cas de
suspicion de procéder à leur analyse.

Journaux à collecter

• journaux système des machines concernées ;
• journaux applicatifs des solutions AnyDesk ;
  • journaux spécifiques à l’application pour un environnement
    Windows

    • %APPDATA%\AnyDesk\ad.trace # log interface utilisateur

    • %PROGRAMDATA%\AnyDesk\ad_svc.trace # logs de service

    • %PROGRAMDATA%\AnyDesk\connection_trace.txt # logs des connexions entrantes

  • journaux spécifiques à l’application pour un environnement Linux

    • /home/*/.anydesk/.anydesk.trace

    • /home/*/.anydesk/anydesk.trace

    • /root/*/.anydesk/.anydesk.trace

    • /root/*/.anydesk/anydesk.trace

    • /var/log/anydesk.trace

    • /etc/anydesk/connection_trace.txt

  • journaux spécifiques à l’application pour un environnement MacOS
• journaux réseau en lien avec les machines concernées.